بیش از 500 پسوند مرورگر دریافت میلیون ها بار از گوگل فروشگاه وب Chrome بر روی کامپیوتر کاربر آپلود مرور خصوصی داده ها به مهاجم-کنترل سرورهای محققان گفت: در روز پنج شنبه.

پسوند بخشی از یک مدت طولانی در حال اجرا malvertising و ad-طرح تقلب که کشف شد توسط پژوهشگر مستقل Jamila کایا. او و محققان از سیسکو متعلق به دو امنیت در نهایت مشخص 71 فروشگاه وب Chrome extensions که تا به حال بیش از 1.7 میلیون نصب. بعد از محققان خصوصی گزارش یافته های خود را به گوگل این شرکت شناسایی بیش از 430 پسوند اضافی. گوگل پس از حذف تمام پسوند شناخته شده.

“در مورد گزارش شده در اینجا افزونه Chrome سازندگان تا به حال به طور خاص ساخته شده که با پسوند inf زمینه تبلیغات قابلیت از کاربران” کایا و دو محقق امنیتی یعقوب Rickerd نوشت: در گزارش. “این انجام شد به منظور اتصال به مرورگر مشتریان به یک فرماندهی و کنترل معماری exfiltrate مرور خصوصی داده ها بدون اطلاع کاربران افشای کاربر به خطر بهره برداری از طریق تبلیغات, جریان, و تلاش برای فرار از فروشگاه وب Chrome را تشخیص تقلب مکانیسم.”

یک پیچ و خم از تغییر مسیر نرم افزارهای مخرب و بیشتر

پسوند بودند به عنوان ابزار است که ارائه های مختلف ارتقاء و تبلیغات-به عنوان-خدمات آب و برق. در واقع آنها مشغول تبلیغ تقلب و malvertising برروی آن بکشید کامپیوتر از طریق پیچ و خم از ناقص دامنه. هر افزونه برای اولین بار متصل به یک دامنه است که با استفاده از همان نام به عنوان پلاگین (به عنوان مثال: Mapstrek[.]com و یا ArcadeYum[.]com) به دنبال دستورالعمل در مورد اینکه آیا به عزل خود را.

پلاگین ها و سپس هدایت مرورگر به یکی از تعداد انگشت شماری از سخت رمزی کنترل سرور برای دریافت دستورالعمل های اضافی مکان برای آپلود داده ها, تبلیغات, تغذیه, لیست و دامنه برای آینده هدایت میکند. کامپیوتر و سپس آپلود شده کاربر اطلاعات به روز شده پلاگین تنظیمات و جریان از طریق یک جریان از سایت تاییدیه.

پنج شنبه گزارش ادامه داد:

کاربر به طور منظم دریافت جدید redirector حوزه به عنوان آنها ایجاد شده و در دسته های متعدد از قبل دامنه ایجاد شده در همان روز و ساعت. همه آنها در راه همان عمل, دریافت سیگنال از میزبان و سپس ارسال آنها را به یک سری از آگهی جریان و پس از آن به مشروع و نامشروع تبلیغات. برخی از این ذکر شده و در پایان “حوزه” بخش از IOCs هر چند آنها بیش از حد زیادی به لیست.

بسیاری از تاییدیه منجر به خوش خیم تبلیغات برای محصولات از macy’s, دل و بهترین خرید. چه ساخته شده این طرح مخرب و جعلی بود (یک) حجم زیادی از محتوای آگهی (به عنوان بسیاری از 30 تغییر مسیر در برخی موارد) (ب) عمدی پنهان بسیاری از تبلیغات از کاربران نهایی و (ج) استفاده از آگهی تغییر مسیر جریان به ارسال مرورگرهای آلوده به نرم افزارهای مخرب و فیشینگ و سایت های. دو نمونه نرم افزارهای مخرب به پلاگین سایت بود:

  • ARCADEYUMGAMES.exe که می خواند ترمینال خدمات مرتبط با کلید و دسترسی به طور بالقوه اطلاعات حساس از محلی مرورگرها و
  • MapsTrek.exe است که توانایی برای باز کردن کلیپ بورد

اما یکی از سایت های مورد استفاده در این طرح نیست قبلا طبقه بندی شده به عنوان مخرب و یا جعلی با تهدید سرویس های اطلاعاتی. به جز ایالت میسوری که ذکر شده DTSINCE[.]com یکی از تعداد انگشت شماری از سخت رمزی کنترل سرور به عنوان یک سایت فیشینگ.

محققان شواهدی که مبارزات انتخاباتی شده است عامل از حداقل تا ژانویه 2019 و به سرعت در حال رشد به خصوص از مارس تا ژوئن. آن را ممکن است اپراتورهای فعال بودند برای مدت زمان طولانی تری احتمالا در اوایل سال 2017.

در حالی که هر یک از 500 پلاگین به نظر می رسد متفاوت همه موجود تقریبا یکسان کد منبع به غیر از نام تابع که منحصر به فرد است. کایا کشف مخرب پلاگین با کمک CRXcavator یک ابزار برای ارزیابی امنیتی از برنامههای افزودنی Chrome. این توسعه داده شد و توسط دو امنیت و ساخته شده بود آزادانه در دسترس در سال گذشته است. تقریبا هیچ کدام از پلاگین ها باید هر کاربر رتبه یک صفت که در سمت چپ محققان مطمئن نیستید دقیقا چگونه پسوند نصب کردم. گوگل تشکر محققان برای گزارش یافته های خود را.

مراقب باشید از برنامه های افزودنی

این آخرین کشف می آید هفت ماه پس از های مختلف محقق مستقل مستند پسوند مرورگر است که برداشته مرور از بیش از 4 میلیون ماشین های آلوده. در حالی که اکثریت قریب به اتفاق از تاسیسات تحت تاثیر قرار کاربران کروم, برخی از کاربران فایرفاکس نیز فرا گرفت. Nacho تجزیه و تحلیل این شرکت است که جمع آوری داده ها و آشکارا به فروش می رسد آن را تعطیل پس از Ars پوشش این عملیات است.
پنج شنبه گزارش کرده است یک لیست از 71 مخرب الحاقات همراه با خود همراه دامنه. پس از یک عمل طولانی گوگل نیست شناسایی هر یک از این افزودنی و یا دامنه آن را در بر داشت در تحقیقات خود را. رایانه هایی است که تا به حال یکی از پلاگین دریافت هشدار از طریق پنجره که گفته شده بود “به صورت خودکار غیر فعال شده است.” افرادی که به دنبال یک لینک یک هشدار قرمز که گفت: “این فرمت شامل نرم افزارهای مخرب است.”

کشف بیشتر مخرب و جعلی پسوند مرورگر است که یک یادآوری است که مردم باید با احتیاط در هنگام نصب این ابزار و استفاده از آنها را تنها زمانی که آنها درست بهره مند شوند. این همیشه یک ایده خوب به عنوان خوانده شده نظرات کاربران برای بررسی گزارش از رفتار مشکوک. مردم باید به طور منظم برای چک کردن پسوند آنها را به رسمیت نمی شناسد و یا استفاده نشده به تازگی و حذف آنها.

این داستان در ابتدا در ظاهر Ars Technica.


بزرگ تر سیمی داستان
  • جلبک خاویار کسی ؟ آنچه ما می خواهیم غذا خوردن در سفر به مریخ
  • کد وسواس رمان نویس می سازد نوشتن یک ربات. طرح غلیظ
  • چگونه یک فضای مهندس ساخته شده خود را دوار تلفن همراه
  • چگونه برای به اشتراک گذاری فایل امن آنلاین
  • برف و یخ در برخواهد داشت آزار دهنده مانع برای خودروهای بدون راننده
  • 👁 تاریخچه راز از صورت به رسمیت شناختن. به علاوه آخرین اخبار در مورد هوش مصنوعی
  • 🏃🏽♀️ می خواهید بهترین ابزار برای دریافت سالم است ؟ ما را بررسی کنید دنده تیم میدارد برای تناسب اندام بهترین انتقالها دنده در حال اجرا (از جمله کفش و جوراب) و بهترین هدفون

tinyurlis.gdv.gdv.htclck.ruulvis.netshrtco.detny.im

نرم افزار گرامرلی